Le géant du cloud computing et du logiciel VMware a corrigé une vulnérabilité dans son logiciel de reprise après sinistre qui permettait aux exploitants de se déplacer latéralement sur le réseau cible, ainsi que l’exécution de code arbitraire sur le serveur, avec des privilèges maximum.
VMware vSphere Replication est un outil de réplication de données utilisé pour créer des sauvegardes de machines virtuelles – généralement dans un cas (peu probable) de dysfonctionnement de la machine virtuelle principale ou de signalement d’une panne.
La faille a été découverte pour la première fois par Egor Dimitrenko, un chercheur en cybersécurité de Positive Technologies, qui a enregistré la faille sous le nom CVE-2021-21976 avec un score CVSS v3 de 7,2. Selon Dimitrenko, la faille aurait pu être le résultat d’une mise à jour mise en œuvre à la hâte, ou d’une vérification insuffisante des entrées de l’utilisateur, malgré le fait que les mécanismes pour empêcher ces erreurs sont généralement intégrés dans les outils de développement.
Sommaire
Vulnérabilité imparfaite
Il n’est pas aussi facile d’abuser, cependant, en raison du fait que les attaquants auraient toujours besoin des informations d’identification pour accéder à l’interface Web d’administration de l’outil. Pourtant, Dimitrenko dit que des informations d’identification pourraient être obtenues si les victimes utilisaient des mots de passe faibles ou si elles étaient ciblées par une campagne d’ingénierie sociale.
Nous sommes nombreux à utiliser le même mot de passe dans plusieurs services, et les criminels en sont bien conscients. Une fois qu’un service a été violé et que les détails ont été divulgués sur le dark web, les criminels l’essayaient ailleurs, se connectant souvent avec succès.
Si leur pratique de gestion des correctifs ne leur permet pas d’installer le correctif immédiatement, les organisations sont invitées à utiliser une solution de gestion des informations et des événements de sécurité (SIEM) pour surveiller les signes potentiels de pénétration jusqu’à ce qu’elles implémentent le correctif. Les solutions SIEM peuvent aider à détecter les comportements suspects sur un serveur, à enregistrer un incident ou à empêcher les mouvements latéraux sur le réseau, entre autres.
